CN108491736A - 篡改监测方法及装置 - Google Patents
篡改监测方法及装置 Download PDFInfo
- Publication number
- CN108491736A CN108491736A CN201810283019.XA CN201810283019A CN108491736A CN 108491736 A CN108491736 A CN 108491736A CN 201810283019 A CN201810283019 A CN 201810283019A CN 108491736 A CN108491736 A CN 108491736A
- Authority
- CN
- China
- Prior art keywords
- dynamic base
- application program
- dynamic
- called
- call
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种篡改监测方法,应用于嵌入式设备,所述方法包括:在应用程序运行时,获得所述应用程序所调用的至少一个动态库;判断所述至少一个动态库是否属于预设的动态库调用集合;所述动态库调用集合为根据所述应用程序安装时所生成的可执行文件获得,用于表征所述应用程序运行时需要调用的多个动态库;当结果为否时,判定所述应用程序被篡改。通过对应用程序所调用的动态库进行监控,有效的监测了应用程序因被篡改而引起的动态库调用范围的变化,从而可以快速的判定所述应用程序是否被篡改。
Description
技术领域
本发明涉及信息安全技术领域,具体而言,涉及一种篡改监测方法及装置。
背景技术
当今信息技术快速发展,电子半导体技术愈加的成熟高效。人们在日常生活中广泛的使用了各种各样的微型的嵌入式设备,例如手机等等。但是,人们在使用这些设备的同时,也隐藏着各种各样的风险,例如在这些设备上安装的应用程序被篡改或者劫持,严重影响个人的信息安全,甚至于应该依赖于这些设备的各种金融类软件被篡改或者劫持时引发严重的个人财务风险。同时,现在又普遍的缺乏能够有效且不会过多的占用嵌入设备的软硬件资源的一种篡改警示方案。
发明内容
有鉴于此,本发明的目的在于提供一种篡改监测方法及装置,以有效改善上述缺陷。
本发明的实施例通过如下方式实现:
第一方面,本发明实施例提供了一种篡改监测方法,应用于嵌入式设备,所述方法包括:在应用程序运行时,获得所述应用程序所调用的至少一个动态库;判断所述至少一个动态库是否属于预设的动态库调用集合;所述动态库调用集合为根据所述应用程序安装时所生成的可执行文件获得,用于表征所述应用程序运行时需要调用的多个动态库;当结果为否时,判定所述应用程序被篡改。
进一步的,所述在应用程序运行时,获得所述应用程序所调用的至少一个动态库之前,所述方法包括:根据所述应用程序安装时生成的可执行文件,获得所述动态库调用集合。
进一步的,所述判断所述至少一个动态库是否属于预设的动态库调用集合包括:根据所述至少一个动态库,获得至少一个目标地址;所述至少一个目标地址用于表征所述至少一个动态库的存储地址;判断所述至少一个目标地址是否与调用地址区间匹配;所述调用地址区间为所述动态库调用集合所表征的所述多个动态库的存储地址的集合。
进一步的,所述根据所述至少一个动态库,获得至少一个目标地址包括:根据所述至少一动态库中被调用的函数,获得至少一个目标地址;所述目标地址为所述被调用函数的存储地址区间的起始地址。
进一步的,所述根据所述应用程序安装时生成的可执行文件,获得所述动态库调用集合包括:根据所述可执行文件,获得所述应用程序运行时需要调用的多个动态库;根据所述所述多个动态库,获得所述动态库调用集合。
第二方面,本发明实施例提供了一种篡改监测装置,应用于嵌入式设备,所述装置包括:第一获得模块、判断模块和结果判定模块;所述第一获得模块,用于在应用程序运行时,获得所述应用程序所调用的至少一个动态库;所述判断模块,用于判断所述至少一个动态库是否属于预设的动态库调用集合;所述动态库调用集合为根据所述应用程序安装时所生成的可执行文件获得,用于表征所述应用程序运行时需要调用的多个动态库;所述结果判定模块,用于当所述判断模块的判断结果为否时,判定所述应用程序被篡改。
进一步的,所述篡改监测装置还包括:第二获得模块;所述第二获得模块,用于根据所述应用程序安装时生成的可执行文件,获得所述动态库调用集合。
进一步的,所述判断模块包括:第一运算单元和第二运算单元;所述第一运算单元,用于根据所述至少一个动态库,获得至少一个目标地址;所述至少一个目标地址用于表征所述至少一个动态库的存储地址;所述第二运算单元,用于判断所述至少一个目标地址是否与调用地址区间匹配;所述调用地址区间为所述动态库调用集合所表征的所述多个动态库的存储地址的集合。
进一步的,所述第一运算单元用于根据所述至少一动态库中被调用的函数,获得至少一个目标地址;所述目标地址为所述被调用函数的存储地址区间的起始地址。
进一步的,所述第二获得模块包括:第一分析单元和第二分析单元;所述第一分析单元,用于根据所述可执行文件,获得所述应用程序运行时需要调用的多个动态库;所述第二分析单元,用于根据所述所述多个动态库,获得所述动态库调用集合。
本发明实施例的有益效果是:本发明提供了一种篡改监测方法,应用于嵌入式设备,所述方法包括:在应用程序运行时,获得所述应用程序所调用的至少一个动态库;判断所述至少一个动态库是否属于预设的动态库调用集合;所述动态库调用集合为根据所述应用程序安装时所生成的可执行文件获得,用于表征所述应用程序运行时需要调用的多个动态库;当结果为否时,判定所述应用程序被篡改。通过对应用程序所调用的动态库进行监控,有效的监测了应用程序因被篡改而引起的动态库调用范围的变化,从而可以快速的判定所述应用程序是否被篡改。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本发明第二实施例提供的一种篡改监测方法的流程图;
图2示出了本发明第二实施例提供的一种篡改监测方法中动态库的声明字段示例图;
图3示出了本发明第三实施例提供的一种篡改监测装置的结构框图;
图4示出了本发明第三实施例提供的一种篡改监测装置的判断模块结构框图;
图5示出了本发明第三实施例提供的一种篡改监测装置的第二分析模块结构框图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
第一实施例
本发明第一实施例提供了一种嵌入式设备,所诉嵌入式设备为运行有操作系统的计算机设备,可选的,所述嵌入式设备为通常为高性能的PC、工作站或小型机,并采用大型数据库系统,如ORACLE、SYBASE、 InfORMix、SQL Server或其它类型的数据库。所述嵌入设备上运行有操作系统,该操作系统,可选的,为macOS、IOS、Windows和Linux。该操作系统运行有各种各样的应用软件,例如音乐播放器、地图软件或者手机银行等。
第二实施例
请参阅图1,本发明第二实施例提供了一种篡改监测方法,应用于嵌入式设备,所述方法包括:步骤S100、步骤S200、步骤S300和步骤S400。
步骤S100:根据应用程序安装时生成的可执行文件,获得动态库调用集合。
在步骤S100中,包括步骤S110和S120。
步骤S110:根据所述可执行文件,获得所述应用程序运行时需要调用的多个动态库。
所述可执行文件,可选的,为IOS系统中的Mach-O文件,Mach-O文件是IOS系统中应用程序安装时编译生成的二进制文件,供系统直接调用执行。在文件源码开始的部分,声明了Mach-O文件运行时需要所有的动态库。在Mach-O文件中,对应的应用程序所依赖的动态库都会显示在Load Command字段中的LC_LOAD_DYLIB字段上。
请参阅图2,通常采用Mach-O View程序打开所述可执行文件,即 Mach-O文件,查看Load Command字段中的LC_LOAD_DYLIB字段, LC_LOAD_DYLIB显示如图2所示,其中LC_LOAD_DYLIB括号后的字符例如DXRisk和DXSaft等即所述可执行文件所声明的需要调用的动态程序库。上述仅为举例说明,本实施例不作具体限定,所述可执行文件,可选的,还可以为windows系统中的exe文件。
步骤S120:根据所述所述多个动态库,获得所述动态库调用集合。
将获得的运行时需要调用的多个动态库的名称组合成一个字符集合,即所述动态库调用集合。例如所述多个动态库为A库、B库和C库,所述动态库调用集合为{A,B,C},其中A,B,C即是动态库的一个唯一标识的名称。上述仅为对本实施例做举例说明,并不对本实施例对出限定,对于所述多个动态库的名称组合成所述动态库调用集合,其形式还可以是其他类型的集合。
在步骤S100执行完毕后继续执行S200。
步骤S200:在应用程序运行时,获得所述应用程序所调用的至少一个动态库。
该步骤对应用程序的运行进行监控,当应用程序进行对一动态库进行调用操作的时候,对该动态库的进行记录。对应用程序的监控并记录所调用到的动态库,可以由一具有高权限的另外的应用软件来执行,也可以由一服务进行。上述仅为对本实施例的举例说明,在本实施例中,对所述应用程序的监控以何种方式来进行,不做具体限定。
步骤S300:判断所述至少一个动态库是否属于预设的所述动态库调用集合。
所述动态库调用集合为根据所述应用程序安装时所生成的可执行文件获得,用于表征所述应用程序运行时需要调用的多个动态库。例如在iso系统中,所述可执行文件为mach-o的二进制可执行文件,在mach-o文文件源码开始的部分,声明了mach-o文件运行时需要所有动态库。所述程序的运行实际上就是对应的可执行文件的运行,mach-o文件为IOS系统中应用程序安装时编译生成的二进制文件,供系统直接调用执行。在不同的类型的操作系统中,根据可执行文件获得对应的应用程序所需要调用的动态库不做具体的限定。
所述步骤S300包括:步骤S310和步骤S320。
步骤S310:根据所述至少一个动态库,获得至少一个目标地址;所述至少一个目标地址用于表征所述至少一个动态库的存储地址;
其中,在步骤S310中,具体的为:根据所述至少一动态库中被调用的函数,获得至少一个目标地址;所述目标地址为所述被调用函数的存储地址区间的起始地址。当应用程序运行时,会调用部分动态库,具体而言,是应用程序运行时,会调用所述至少一个动态库中的函数。在程序运行时,只需要监控应用程序对动态库中函数的调用,即监控应用程序中获得该函数的指针所指向的地址,该地址即为所述至少一个目标地址。
步骤S320:判断所述至少一个目标地址是否与调用地址区间匹配;所述调用地址区间为所述动态库调用集合所表征的所述多个动态库的存储地址的集合。
在获得了所述至少一个目标地址后,需要获得所述动态库的存储地址的范围,所述调用地址区间就是这样的一个范围。所述调用地址区间可以是不连续的区间的集合。判断时,只需要确认所述至少一个目标地址是否落在该区间上,即所述调用地址区间。例如所述调用地址区间为[100,200) 与[300,400)的并集,所述至少一个目标地址中的一个为150,该为150的目标地址在所述调用地址区间中,即与所述调用地址区间匹配。如所述至少一个目标地址中的另一个为250,该为250的目标地址不在所述调用地址区间中,即与所述调用地址区间不匹配。
其中所述调用地址区间的获得方式为:通过LC_LOAD_DYLIB获取所述多个动态库的名称,然后根据这些动态库的LC_SEGMENT字段获取动态库的大小,在IOS系统,体现动态库大小的为VM size字段。然后根据动态库的大小以及动态库的起始地址,就可以确定所述动态库的地址区间。所述动态库的地址区间的为其起始地址至终止地址之间的区间,终止地址等于其对应的起始地址与对应的动态库大小的和。对所述多个动态库各自的地址区间求并集就是所述调用地址区间。
步骤400:当结果为否时,判定所述应用程序被篡改。
当结果为否时,因为应用程序调用到的动态库与最初在可执行文件中声明的需要调用到的动态库不符合,势必是由应用程序被篡改而导致的应用程序处理逻辑发生变化所造成的,所以能够充分的推导出所述应用程序被篡改。当结果为是时,因为应用程序调用到的动态库与最初在可执行文件中声明的需要调用到的动态库符合,因此可以断定没有额外的调用新的动态库,从而可以推断出所述应用程序没有被篡改。但是,值得注意的是,在极端理想情况下,是存在判断结果为是,但应用被篡改的情况。
第三实施例
请参阅图3,本发明实施例提供了一种篡改监测装置100,应用于嵌入式设备,所述装置包括:第一获得模块110、判断模块120和结果判定模块 130;所述第一获得模块110,用于在应用程序运行时,获得所述应用程序所调用的至少一个动态库;所述判断模块120,用于判断所述至少一个动态库是否属于预设的动态库调用集合;所述动态库调用集合为根据所述应用程序安装时所生成的可执行文件获得,用于表征所述应用程序运行时需要调用的多个动态库;所述结果判定模块130,用于当所述判断模块的判断结果为否时,判定所述应用程序被篡改。
其中,所述篡改监测装置100还包括:第二获得模块140;所述第二获得模块140用于根据所述应用程序安装时生成的可执行文件,获得所述动态库调用集合。
请参阅图4,所述判断模块120包括:第一运算单元121和第二运算单元122;所述第一运算单元121,用于根据所述至少一个动态库,获得至少一个目标地址;所述至少一个目标地址用于表征所述至少一个动态库的存储地址;所述第二运算单元122,用于判断所述至少一个目标地址是否与调用地址区间匹配;所述调用地址区间为所述动态库调用集合所表征的所述多个动态库的存储地址的集合。
所述第一运算单元121用于根据所述至少一动态库中被调用的函数,获得至少一个目标地址;所述目标地址为所述被调用函数的存储地址区间的起始地址。
请参阅图5,所述第二获得模块140包括:第一分析单元141和第二分析单元142;所述第一分析单元141,用于根据所述可执行文件,获得所述应用程序运行时需要调用的多个动态库;所述第二分析单元142,用于根据所述所述多个动态库,获得所述动态库调用集合。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例该方法的全部或部分步骤。而前述的存储器包括:U盘、移动硬盘、只读存储器(ROM, Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
综上所述,本发明实施例提供了一种篡改监测方法,应用于嵌入式设备,所述方法包括:在应用程序运行时,获得所述应用程序所调用的至少一个动态库;判断所述至少一个动态库是否属于预设的动态库调用集合;所述动态库调用集合为根据所述应用程序安装时所生成的可执行文件获得,用于表征所述应用程序运行时需要调用的多个动态库;当结果为否时,判定所述应用程序被篡改。通过对应用程序所调用的动态库进行监控,有效的监测了应用程序因被篡改而引起的动态库调用范围的变化,从而可以快速的判定所述应用程序是否被篡改。
以上仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
Claims (10)
1.一种篡改监测方法,应用于嵌入式设备,其特征在于,所述方法包括:
在应用程序运行时,获得所述应用程序所调用的至少一个动态库;
判断所述至少一个动态库是否属于预设的动态库调用集合;所述动态库调用集合为根据所述应用程序安装时所生成的可执行文件获得,用于表征所述应用程序运行时需要调用的多个动态库;
当结果为否时,判定所述应用程序被篡改。
2.根据权利要求1所述的篡改监测方法,应用于嵌入式设备,其特征在于,所述在应用程序运行时,获得所述应用程序所调用的至少一个动态库之前,所述方法包括:
根据所述应用程序安装时生成的可执行文件,获得所述动态库调用集合。
3.根据权利要求2所述的篡改监测方法,应用于嵌入式设备,其特征在于,所述判断所述至少一个动态库是否属于预设的动态库调用集合包括:
根据所述至少一个动态库,获得至少一个目标地址;所述至少一个目标地址用于表征所述至少一个动态库的存储地址;
判断所述至少一个目标地址是否与调用地址区间匹配;所述调用地址区间为所述动态库调用集合所表征的所述多个动态库的存储地址的集合。
4.根据权利要求3所述的篡改监测方法,应用于嵌入式设备,其特征在于,所述根据所述至少一个动态库,获得至少一个目标地址包括:
根据所述至少一动态库中被调用的函数,获得至少一个目标地址;所述目标地址为所述被调用函数的存储地址区间的起始地址。
5.根据权利要求4所述的篡改监测方法,应用于嵌入式设备,其特征在于,所述根据所述应用程序安装时生成的可执行文件,获得所述动态库调用集合包括:
根据所述可执行文件,获得所述应用程序运行时需要调用的多个动态库;
根据所述所述多个动态库,获得所述动态库调用集合。
6.一种篡改监测装置,应用于嵌入式设备,其特征在于,所述装置包括:第一获得模块、判断模块和结果判定模块;
所述第一获得模块,用于在应用程序运行时,获得所述应用程序所调用的至少一个动态库;
所述判断模块,用于判断所述至少一个动态库是否属于预设的动态库调用集合;所述动态库调用集合为根据所述应用程序安装时所生成的可执行文件获得,用于表征所述应用程序运行时需要调用的多个动态库;
所述结果判定模块,用于当所述判断模块的判断结果为否时,判定所述应用程序被篡改。
7.根据权利要求6所述的篡改监测装置,其特征在于,所述装置还包括:第二获得模块;
所述第二获得模块,用于根据所述应用程序安装时生成的可执行文件,获得所述动态库调用集合。
8.根据权利要求7所述的篡改监测装置,其特征在于,所述判断模块包括:第一运算单元和第二运算单元;
所述第一运算单元,用于根据所述至少一个动态库,获得至少一个目标地址;所述至少一个目标地址用于表征所述至少一个动态库的存储地址;
所述第二运算单元,用于判断所述至少一个目标地址是否与调用地址区间匹配;所述调用地址区间为所述动态库调用集合所表征的所述多个动态库的存储地址的集合。
9.根据权利要求8所述的篡改监测装置,其特征在于,所述第一运算单元用于根据所述至少一动态库中被调用的函数,获得至少一个目标地址;所述目标地址为所述被调用函数的存储地址区间的起始地址。
10.根据权利要求9所述的篡改监测装置,其特征在于,所述第二获得模块包括:第一分析单元和第二分析单元;
所述第一分析单元,用于根据所述可执行文件,获得所述应用程序运行时需要调用的多个动态库;
所述第二分析单元,用于根据所述所述多个动态库,获得所述动态库调用集合。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810283019.XA CN108491736B (zh) | 2018-04-02 | 2018-04-02 | 篡改监测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810283019.XA CN108491736B (zh) | 2018-04-02 | 2018-04-02 | 篡改监测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108491736A true CN108491736A (zh) | 2018-09-04 |
| CN108491736B CN108491736B (zh) | 2020-09-22 |
Family
ID=63318060
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810283019.XA Active CN108491736B (zh) | 2018-04-02 | 2018-04-02 | 篡改监测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108491736B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110135154A (zh) * | 2019-03-28 | 2019-08-16 | 江苏通付盾信息安全技术有限公司 | 应用程序的注入攻击检测系统及方法 |
| CN110555307A (zh) * | 2019-09-06 | 2019-12-10 | 深信服科技股份有限公司 | 识别和处理伪装型系统动态库的方法、装置、设备及介质 |
| CN111510457A (zh) * | 2020-04-20 | 2020-08-07 | 同盾(广州)科技有限公司 | 函数攻击的检测方法、装置、电子设备及可读介质 |
| CN112052165A (zh) * | 2020-08-21 | 2020-12-08 | 北京智游网安科技有限公司 | 一种检测目标函数被调试的方法、系统及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102882875A (zh) * | 2012-09-29 | 2013-01-16 | 北京奇虎科技有限公司 | 主动防御方法及装置 |
| CN102999720A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 程序鉴别方法和系统 |
| CN103886042A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种识别动态链接库的方法及装置 |
| US20150154037A1 (en) * | 2006-05-04 | 2015-06-04 | Vmware, Inc. | Enhanced hook function for use with different versions of a dynamically loaded library |
| CN105956475A (zh) * | 2016-05-17 | 2016-09-21 | 北京金山安全软件有限公司 | Dll文件的拦截处理方法、装置及电子设备 |
| CN106778234A (zh) * | 2015-11-19 | 2017-05-31 | 珠海市君天电子科技有限公司 | 应用程序的防护方法及装置 |
| CN107608885A (zh) * | 2017-09-13 | 2018-01-19 | 郑州云海信息技术有限公司 | 内存泄漏点的定位方法、装置、系统及可读存储介质 |
| CN107665306A (zh) * | 2017-09-06 | 2018-02-06 | 武汉斗鱼网络科技有限公司 | 一种检测非法文件注入的方法、装置、客户端及服务器 |
-
2018
- 2018-04-02 CN CN201810283019.XA patent/CN108491736B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150154037A1 (en) * | 2006-05-04 | 2015-06-04 | Vmware, Inc. | Enhanced hook function for use with different versions of a dynamically loaded library |
| CN102882875A (zh) * | 2012-09-29 | 2013-01-16 | 北京奇虎科技有限公司 | 主动防御方法及装置 |
| CN102999720A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 程序鉴别方法和系统 |
| CN103886042A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种识别动态链接库的方法及装置 |
| CN106778234A (zh) * | 2015-11-19 | 2017-05-31 | 珠海市君天电子科技有限公司 | 应用程序的防护方法及装置 |
| CN105956475A (zh) * | 2016-05-17 | 2016-09-21 | 北京金山安全软件有限公司 | Dll文件的拦截处理方法、装置及电子设备 |
| CN107665306A (zh) * | 2017-09-06 | 2018-02-06 | 武汉斗鱼网络科技有限公司 | 一种检测非法文件注入的方法、装置、客户端及服务器 |
| CN107608885A (zh) * | 2017-09-13 | 2018-01-19 | 郑州云海信息技术有限公司 | 内存泄漏点的定位方法、装置、系统及可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 王祥根: "自修改代码逆向分析方法研究", 《中国博士学位论文全文数据库 信息科技辑》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110135154A (zh) * | 2019-03-28 | 2019-08-16 | 江苏通付盾信息安全技术有限公司 | 应用程序的注入攻击检测系统及方法 |
| CN110135154B (zh) * | 2019-03-28 | 2021-09-03 | 江苏通付盾信息安全技术有限公司 | 应用程序的注入攻击检测系统及方法 |
| CN110555307A (zh) * | 2019-09-06 | 2019-12-10 | 深信服科技股份有限公司 | 识别和处理伪装型系统动态库的方法、装置、设备及介质 |
| CN110555307B (zh) * | 2019-09-06 | 2021-09-17 | 深信服科技股份有限公司 | 识别和处理伪装型系统动态库的方法、装置、设备及介质 |
| CN111510457A (zh) * | 2020-04-20 | 2020-08-07 | 同盾(广州)科技有限公司 | 函数攻击的检测方法、装置、电子设备及可读介质 |
| CN112052165A (zh) * | 2020-08-21 | 2020-12-08 | 北京智游网安科技有限公司 | 一种检测目标函数被调试的方法、系统及存储介质 |
| CN112052165B (zh) * | 2020-08-21 | 2024-04-26 | 北京智游网安科技有限公司 | 一种检测目标函数被调试的方法、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108491736B (zh) | 2020-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108491736A (zh) | 篡改监测方法及装置 | |
| Liu et al. | Privacy risk analysis and mitigation of analytics libraries in the android ecosystem | |
| US7765460B2 (en) | Out-of-band change detection | |
| CN107341401B (zh) | 一种基于机器学习的恶意应用监测方法和设备 | |
| US7822724B2 (en) | Change audit method, apparatus and system | |
| US20070033654A1 (en) | Method, system and program product for versioning access control settings | |
| CN111064745B (zh) | 一种基于异常行为探测的自适应反爬方法和系统 | |
| US20140201806A1 (en) | Runtime risk detection based on user, application, and system action sequence correlation | |
| KR20140066718A (ko) | 애플리케이션용 선택적 파일 액세스 기법 | |
| CN104769598B (zh) | 用于检测非法应用程序的系统和方法 | |
| CN113127050B (zh) | 一种应用资源打包过程监控方法、装置、设备和介质 | |
| CN105956468A (zh) | 一种基于文件访问动态监控的Android恶意应用检测方法及系统 | |
| CN108416212A (zh) | 应用程序识别方法和装置 | |
| EP3350741A1 (en) | Detecting software attacks on processes in computing devices | |
| US20200193021A1 (en) | Malware collusion detection | |
| US7606973B2 (en) | System and method for pervasive computing with a portable non-volatile memory device | |
| CN102915376A (zh) | 检测数据库异常行为的方法和设备 | |
| CN105760761A (zh) | 软件行为分析方法和装置 | |
| CN115688106A (zh) | 一种Java agent无文件注入内存马的检测方法及装置 | |
| CN106020923B (zh) | SELinux策略的编译方法及系统 | |
| Wu et al. | Pacs: Pemission abuse checking system for android applictions based on review mining | |
| CN110990878A (zh) | 一种隐私数据衍生图的构建方法 | |
| CN106155736B (zh) | 软件安装启动类型检测方法、装置及用户终端 | |
| CN115329395A (zh) | 数据库的数据处理方法、装置、系统、设备及存储介质 | |
| US20210406376A1 (en) | Firmware password management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |